[résolu] HDD C se remplit pendant sauvegarde des fichiers

[zygielle]

Bonjour, et meilleurs voeux.

Je viens de passer quelques jours à ramer dur sur mon ordinateur de salon. Il s'agit d'un packard bell, équipé de Vista édition famille. A la suite de soucis sans résolution possible, j'ai décidé de faire une sauvegarde des fichiers sur un DD externe pour réinstaller Vista.
Le problème, c'est qu'au fur et à mesure que le DD externe se remplit, le HDD C (280 Go) se remplit également. J'ai aussi remarqué qu'il se remplissait (mais moins vite) en l'absence de sauvegarde. J'ai annulé les points de restauration, désactivé la restauration sur les disques durs, redémarré l'ordi et miracle, récupéré 116 Go, mais le HDD C a recommencé à se remplir aussi sec, tout seul. Je précise que je ne télécharge rien du tout. La connexion internet est active, avast fonctionne, mais je ne peux pas aller sur internet (d'où les ennuis de ces derniers jours).
J'ai fait une sauvegarde cette nuit, qui a été annulée puisque le disque C était plein.
Impossible d'annuler la restauration ce matin.
Je compte m'y remettre ce soir...
J'aurais bien aimé savoir où étaient stockées toutes ces données. J'ai affiché les fichiers cachés, je ne trouve rien. En fait j'ai fait pas mal de trucs, en vain.
J'avais l'intention en dernier recours de copier les fichiers et les programmes auxquels je tiens à la main sur le DD externe et de taper sur l'ordi à coup de massue.

J'ai vraiment besoin d'explications et d'aide... merci à ceux qui voudront bien essayer de s'y coller.
Je précise que je suis une bille en info, et qu'il faut me parler lentement et en utilisant des mots simples.
Zygielle

[nardino]

Bonjour,
Si tu le permets fais le scan décrit ci-dessous et poste les rapports.
Pour faire un premier diagnostic, applique les deux propositions ci-dessous.

Malwarebytes Anti-Malware de RubbeR DuckY

Double-clique sur le fichier mbam-setup-1.50.exe (sous Vista et 7 autorise les modifications)
A la fin de l'installation, veille à ce que les options suivantes soient cochées
-Mettre à jour Malwarebytes' Anti-Malware
-Exécuter Malwarebytes' Anti-Malware
Clique sur Terminer
Une fenêtre Mise à jour de Malwarebytes' Anti-Malware va s'ouvrir avec une barre de progression.
Puis une autre annonçant le succès de la mise à jour de la base de données. Clique sur OK.
Le programme s'ouvre sur l'onglet Recherche.
Coche Exécuter un examen rapide, clique sur le bouton

A la fin du scan, sélectionne tout et clique sur Supprimer la sélection

Poste le rapport qui s'ouvre après cette suppression.
Redémarre le pc si cela est demandé
Tu peux retrouver le rapport dans l'onglet Rapports/Logs avec la date et l'heure d'exécution.

ZHPDiag de Nicolas Coolman sur ton bureau.

Clique sur le fichier ZHPDiag2.exe pour installer l'outil et suis la routine.
Coche Installer une icône sur le bureau quand cela te sera proposé.

Lance l'icône ZHPDiag affichée sur le bureau

Dans l'interface, clique sur la loupe en haut dans la barre d'outil à gauche, laisse faire le scan jusqu'à ce que la barre de progression soit à 100%.

Tu refermes ZHPDiag en cliquant sur la croix rouge en haut à droite.
Un fichier ZHPDiag.txt sera enregistré sur le bureau. http://i65.servimg.com/u/f65/11/05/93/83/zhpdia16.jpg/b]

Tu l'héberges sur Cjoint en cochant 4 jours dans la ligne Et pour quelle durée ?
Tu me communiques le lien obtenu dans ta réponse.

Deux tutos si nécessaire.
ZHPDiag
Cjoint

Si besoin est, nous ferons appel à d'autres outils.

@+

[zygielle]

Merci pour cette réponse, mais je n'ai pas accès à internet sur cet ordinateur... je pourrais faire un téléchargement sur clé, mais avec un disque plein, ça va être un peu difficile d'enregistrer le programme ! A moins que quelque chose m'échappe.
A moins que je puisse enregistrer les programmes sur le disque D ?
(je vous l'avais dit que j'étais une bille).

Zygielle

[nardino]

Bonjour,
Il est vraiment si plein ton disque C ?
Tu peux effectivement choisir d'installer les deux outils sur D.
Crée les dossiers avant.
Tu crées un dossier Programmes désinfection sur D et tu choisis cette destination pour installer.
@+

[zygielle]

Merci ! J'ai enregistré les programmes sur clé USB, je redémarrerai l'ordi ce soir et j'essaierai ce protocole. Je vous tiens au courant.
Zygielle

[zygielle]

Bonsoir ou bonjour,

Voici le rapport de Malwarebytes. Les éléments mis en quarantaine me semblent étranges, j'utilise sans problème Phonetik sur mon vieil XP depuis des lustres...

Malwarebytes Anti-Malware (Essai) 1.60.0.1800
http://www.malwarebytes.org

Version de la base de données: v2011.12.24.05

Windows Vista Service Pack 1 x86 NTFS
Internet Explorer 8.0.6001.19088
moi :: PC-DES-nom de famille [administrateur]

Protection: Activé

03/01/2012 20:27:21
mbam-log-2012-01-03 (20-27-21).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 226038
Temps écoulé: 24 minute(s), 58 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 4
C:\Users\Moi\Install_Phonetik_V2.exe (Adware.Onlinegames) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Moi\Downloads\Install_Phonetik_V2.exe (Adware.Onlinegames) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Mes fils\Downloads\MusicConverterSetup.exe (Adware.InstallCore) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Mes fils\firefox.exe (Rootkit.Dropper) -> Mis en quarantaine et supprimé avec succès.

(fin)

[zygielle]

Et voici le lien obtenu avec ZHDiag :
http://cjoint.com/?3AdwCe96dcT

Merci pour votre aide !

Zygielle.

[nardino]

Bonsoir,
AdwCleaner de Xplode sur ton bureau

Lance l'outil en cliquant sur adwcleaner.exe.
Choisis Suppression



Poste le rapport qui s'ouvre en fin de nettoyage après avoir redémarré l'ordinateur.
Il sera enregistré sous C:\AdwCleaner[S1].txt

(Si tu as choisis Recherche le rapport sera C:\AdwCleaner[R1].txt
Chaque nouvelle utilisation de l'outil implémentera la numérotation des rapports [S2] [S3] [R2] [R3], etc.
R= Recherche, S=Suppression.)

AD-Remover de C_XX sur ton bureau.

Double clique sur AD-R.exe, suis la routine d'installation.
Clique sur l'icône apparue sur le bureau.



Clique sur le bouton Nettoyer.



Un rapport va s'ouvrir en fin de scan, poste-le dans ta réponse.
Le rapport est sauvegardé sous C:\Ad-report-SCAN[1].txt
Ferme le programme par Quitter.
S'il est demandé de redémarrer pour terminer le nettoyage, fais-le.

Mets à jour ton système, il manque le pack SP2
Mets à jour :

*Java Runtime Environment
Ouvre cette page
Coche Accept License Agreement
Clique sur Windows x86 Offline - 16.1 MB -jre-6u30-windows-i586.exe
Installe le fichier téléchargé.
Lis les clauses en cours d'installation. (Il n'est pas nécessaire d'installer les programmes tiers proposés).
Il existe une version pour les programmes 64bits du système.
Il existe aussi une version 7u2.
Pourquoi la version 7 de Java n'est-elle pas encore disponible sur java.com ? (dixit le site java.com)

La nouvelle version de Java est la toute première version mise à la disposition des développeurs pour garantir qu'aucun problème majeur ne survienne avant que nous la lancions sur le site Web java.com pour permettre aux utilisateurs finaux de télécharger la dernière version.

*Acrobat Reader X
Ouvre cette page
Choisis ton système d'exploitation, la langue souhaitée, la version Reader 10.1.1
Décoche Oui, installer McAfee Security Scan Plus (facultatif) (0.98MO)
Clique sur Télécharger dès maintenant
L'installation se fera automatiquement en cliquant sur le fichier obtenu :
install_reader10_fr_mssd_aih.exe

*Adobe Flash Player
Ouvre cette page
Décoche Oui, installer McAfee Security Scan Plus (facultatif) (0.98MO)
Clique sur Télécharger dès maintenant
L'installation se fera automatiquement en cliquant sur le fichier obtenu :
install_flashplayer11x64_mssa_aih.exe
@+

[zygielle]

Bonsoir,
Mon précedent message n'a pas été envoyé, flûte.
Je n'ai pas pu faire fonctionner adr... Je vais essayer dès que je peux en mode sans échec. Pour le reste, j'ai surtout l'intention de réinitialiser l'ordi pour récupérer ma connexion internet.

Merci pour votre patience !

[nardino]

Bonjour,
Laisse tomber Ad-R.
Mais poste les autres rapports.
Tu ajouteras cette manipulation:
Farbar Service Scanner
Lance l'outil.
Coche les options ci-dessous :
Internet Services
Windows Firewall
System Restore
Security Center
Windows Update
Clique sur "Scan".
Il y a création d'un rapport d'analyse (FSS.txt) dans le dossier où se trouve FSS.exe.
Fais un copier/coller de ce rapport d'analyse dans ta réponse.
@+

[zygielle]

Le disque C s'est vidé hier comme par magie en rallumant l'ordi.
En attendant, j'ai fait des copies manuelles des fichiers. et surtout, quelqu'un plein de bon sens m'a dit de couper ma connexion internet... ce qui a fait cesser le remplissage du HDD C. Apparemment, Vista passe son temps à faire des mises à jour.
J'ai ensuite retenté une sauvegarde par l'outil de sauvegarde, et là le disque C a bien voulu ne pas se remplir.
Voilà une bonne chose de faite.

Je tente donc vos manip ce soir, et je vous posterai également le rapport de adw.

Zygielle.

[zygielle]

Bonsoir !
Voici le rapport adw :
# AdwCleaner v1.403 - Rapport crÈÈ le 04/01/2012 ‡ 09:30:00
# Mis ‡ jour le 24/12/11 ‡ 14h par Xplode
# SystËme d'exploitation : Windows Vista (TM) Home Premium Service Pack 1 (32 bits)
# Nom d'utilisateur : mariàmoi - PC-DES-nom de famille (Administrateur)
# ExÈcutÈ depuis : D:\programmes dÈsinfection\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Le reste va suivre, j'oeuvre.

[zygielle]

Voici le rapport de FSS. Ça me fait tout drôle de faire des choses auxquelles je ne comprends rien !
Farbar Service Scanner
Ran by moi (administrator) on 05-01-2012 at 21:12:50
MicrosoftÆ Windows Vistaô …dition Familiale Premium Service Pack 1 (X86)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
There is no connection to network.
Google IP is accessible.
Yahoo IP is accessible.


Windows Firewall:
=============

Firewall Disabled Policy:
==================


System Restore:
============
VSS Service is not running. Checking service configuration:
The start type of VSS service is OK.
The ImagePath of VSS service is OK.


System Restore Disabled Policy:
========================


Security Center:
============

Windows Update:
===========

File Check:
========
C:\Windows\system32\nsisvc.dll => MD5 is legit
C:\Windows\system32\Drivers\nsiproxy.sys => MD5 is legit
C:\Windows\system32\dhcpcsvc.dll
[2008-01-21 03:24] - [2008-01-21 03:24] - 0204288 ____A (Microsoft Corporation) 43A988A9C10333476CB5FB667CBD629D

C:\Windows\system32\Drivers\afd.sys
[2011-06-16 19:09] - [2011-04-21 14:16] - 0273408 ____A (Microsoft Corporation) 48EB99503533C27AC6135648E5474457

C:\Windows\system32\Drivers\tdx.sys => MD5 is legit
C:\Windows\system32\Drivers\tcpip.sys
[2010-08-28 08:09] - [2010-06-16 16:59] - 0898952 ____A (Microsoft Corporation) 782568AB6A43160A159B6215B70BCCE9

C:\Windows\system32\dnsrslvr.dll
[2011-04-13 19:36] - [2011-03-02 15:49] - 0086528 ____A (Microsoft Corporation) 4805D9A6D281C7A7DEFD9094DEC6AF7D

C:\Windows\system32\mpssvc.dll
[2008-01-21 03:24] - [2008-01-21 03:24] - 0393216 ____A (Microsoft Corporation) D1639BA315B0D79DEC49A4B0E1FB929B

C:\Windows\system32\bfe.dll
[2008-01-21 03:23] - [2008-01-21 03:23] - 0328704 ____A (Microsoft Corporation) 8582E233C346AEFE759833E8A30DD697

C:\Windows\system32\Drivers\mpsdrv.sys => MD5 is legit
C:\Windows\system32\SDRSVC.dll => MD5 is legit
C:\Windows\system32\vssvc.exe
[2008-01-21 03:23] - [2008-01-21 03:23] - 1054720 ____A (Microsoft Corporation) D5FB73D19C46ADE183F968E13F186B23

C:\Windows\system32\wscsvc.dll
[2008-01-21 03:23] - [2008-01-21 03:23] - 0061440 ____A (Microsoft Corporation) 683DD16B590372F2C9661D277F35E49C

C:\Windows\system32\wbem\WMIsvc.dll
[2008-01-21 03:24] - [2008-01-21 03:24] - 0161792 ____A (Microsoft Corporation) 00B79A7C984678F24CF052E5BEB3A2F5

C:\Windows\system32\wuaueng.dll => MD5 is legit
C:\Windows\system32\qmgr.dll
[2008-01-21 03:25] - [2008-01-21 03:25] - 0758272 ____A (Microsoft Corporation) 02ED7B4DBC2A3232A389106DA7515C3D

C:\Windows\system32\es.dll
[2008-08-14 20:58] - [2008-04-18 06:48] - 0269312 ____A (Microsoft Corporation) 3CB3343D720168B575133A0A20DC2465

C:\Windows\system32\cryptsvc.dll
[2008-01-21 03:24] - [2008-01-21 03:24] - 0128000 ____A (Microsoft Corporation) 6DE363F9F99334514C46AEC02D3E3678

C:\Windows\system32\svchost.exe => MD5 is legit
C:\Windows\system32\rpcss.dll
[2009-04-17 17:22] - [2009-03-03 05:39] - 0551424 ____A (Microsoft Corporation) 301AE00E12408650BADDC04DBC832830



**** End of log ****

[nardino]

Bonsoir,
Je vais te demander une dernière chose.
Combofix

IMPORTANT
Enregistre ComboFix.exe sur le Bureau
Désactive les applications antivirus et anti-malware résidentes, en général via un clic droit sur l'icône de la Zone de notification, sinon elles risquent d'interférer avec l'outil.
Fais un double clic sur l'icône et suis les invites.
Sous XP accepte l'installation de la console de récupération.

Surtout ne lance aucune application pendant le scan et après le redémarrage parfois nécessaire et provoqué par l'outil.
Lorsque l'outil aura terminé, il affichera un rapport.
Attends l'affichage du rapport.(Il sera enregistré sous C:\Combofix.txt)
Copie le contenu dans ta prochaine réponse.

Avertissement aux lecteurs.
Combofix n'est pas un outil anodin ni sans risques pour le système d'exploitation.
Il est conseillé de l'utiliser sous le contrôle d'un assistant.
@+

[zygielle]

Mission accomplie. Voici le rapport de Combofix :
ComboFix 12-01-06.01 - Laura 06/01/2012 19:23:24.1.4 - x86
MicrosoftÆ Windows Vistaô …dition Familiale Premium 6.0.6001.1.1252.33.1036.18.3071.1894 [GMT 1:00]
LancÈ depuis: c:\users\Laura\Desktop\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Un nouveau point de restauration a ÈtÈ crÈÈ
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\firefox.exe
c:\programdata\tmp195E.tmp
c:\programdata\tmpE035.tmp
c:\users\Laura\audacity-win-unicode-1.3.13.exe
c:\users\Laura\b7100MUx.exe
c:\users\Patrick\OOo_3.0.0_Win32Intel_install_wJRE_fr.exe
c:\windows\bwUnin-8.1.1.50-8876480SL.exe
c:\windows\ST6UNST.000
c:\windows\system32\drivers\etc\hosts.txt
c:\windows\system32\FAST2001.ocx
c:\windows\system32\tmpA073.tmp
c:\windows\system32\tmpA17D.tmp
J:\autorun.inf
.
.
((((((((((((((((((((((((((((( Fichiers crÈÈs du 2011-12-06 au 2012-01-06 ))))))))))))))))))))))))))))))))))))
.
.
2012-01-06 18:35 . 2012-01-06 18:35 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-01-06 18:35 . 2012-01-06 18:35 -------- d-----w- c:\users\Patrick\AppData\Local\temp
2012-01-06 12:14 . 2012-01-06 12:14 56200 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{33F12E48-DF26-4536-8522-F52A77C760A9}\offreg.dll
2012-01-03 19:26 . 2012-01-03 19:26 -------- d-----w- c:\users\Laura\AppData\Roaming\Malwarebytes
2012-01-03 19:25 . 2012-01-03 19:25 -------- d-----w- c:\programdata\Malwarebytes
2012-01-03 19:25 . 2011-12-10 14:24 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-01-02 15:47 . 2012-01-02 21:41 -------- d-----w- c:\users\Laura\AppData\Local\MigWiz
2012-01-02 09:52 . 2012-01-02 09:52 0 ---ha-w- c:\users\Laura\AppData\Local\BITE782.tmp
2012-01-02 09:52 . 2012-01-02 09:52 0 ---ha-w- c:\users\Laura\AppData\Local\BITE714.tmp
2012-01-02 09:43 . 2012-01-02 09:43 0 ---ha-w- c:\users\Laura\AppData\Local\BIT6122.tmp
2012-01-02 09:12 . 2012-01-02 09:12 0 ---ha-w- c:\users\Laura\AppData\Local\BIT580E.tmp
2012-01-02 09:09 . 2012-01-02 09:09 0 ---ha-w- c:\users\Laura\AppData\Local\BIT62C7.tmp
2012-01-02 09:05 . 2012-01-02 09:05 0 ---ha-w- c:\users\Laura\AppData\Local\BIT62E7.tmp
2012-01-02 08:41 . 2012-01-02 08:41 0 ---ha-w- c:\users\Laura\AppData\Local\BIT6079.tmp
2012-01-02 08:41 . 2012-01-02 08:41 0 ---ha-w- c:\users\Laura\AppData\Local\BIT5FEB.tmp
2012-01-02 08:19 . 2012-01-02 08:19 0 ---ha-w- c:\users\Laura\AppData\Local\BIT691E.tmp
2011-12-31 10:49 . 2011-12-31 10:49 -------- d-----w- c:\users\Laura\AppData\Roaming\Creative
2011-12-31 10:44 . 2011-12-31 10:45 -------- d-----w- c:\programdata\Creative
2011-12-31 10:44 . 2011-12-31 10:44 -------- d--h--w- c:\programdata\{26D901A1-2540-4430-81DC-0317F01BD7BE}
2011-12-31 10:44 . 2011-12-31 10:44 -------- d-----w- c:\program files\Creative
2011-12-31 10:44 . 2011-12-31 10:44 -------- d--h--w- c:\programdata\{3F99F896-A711-4F43-8412-BC4D34E35545}
2011-12-30 14:03 . 2011-12-30 14:03 -------- d-----w- c:\windows\system32\EventProviders
2011-12-28 13:04 . 2011-12-28 13:04 -------- d-----w- c:\program files\ASIO4ALL v2
2011-12-28 13:04 . 2011-12-28 13:04 -------- d-----w- c:\program files\VstPlugins
2011-12-28 13:04 . 2006-06-20 08:56 225280 ----a-w- c:\windows\system32\rewire.dll
2011-12-28 13:03 . 2009-09-15 09:14 1554944 ----a-w- c:\windows\system32\vorbis.acm
2011-12-28 13:03 . 2011-12-28 13:03 -------- d-----w- c:\program files\Outsim
2011-12-28 12:59 . 2011-12-30 13:58 -------- d-----w- c:\program files\Image-Line
2011-12-28 11:54 . 2011-12-28 11:54 -------- d-----w- c:\program files\Microsoft Silverlight
2011-12-27 12:29 . 2011-11-21 10:47 6823496 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{33F12E48-DF26-4536-8522-F52A77C760A9}\mpengine.dll
2011-12-26 12:31 . 1999-12-17 09:13 86016 ----a-w- c:\windows\unvise32.exe
2011-12-26 12:31 . 2011-12-26 12:31 -------- d-----w- c:\program files\emagic
2011-12-26 12:30 . 2011-12-26 12:30 -------- d-----w- c:\program files\DigitalSoundPlanet
2011-12-26 12:23 . 2011-12-26 12:23 -------- d-----w- c:\users\Laura\AppData\Roaming\Cycling '74
2011-12-26 12:23 . 2011-12-26 12:23 -------- d-----w- c:\program files\AkaiPro
2011-12-14 18:06 . 2011-12-14 18:06 653584 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2011-12-11 15:45 . 2011-12-28 11:50 -------- d-----w- c:\program files\Warcraft III
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-12-02 16:57 . 2011-12-02 16:57 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-02-14 21:00 . 2011-02-14 21:00 119808 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ÈlÈments vides & les ÈlÈments initiaux lÈgitimes ne sont pas listÈs
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-09-06 21:45 122512 ----a-w- c:\program files\Alwil Software\Avast5\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WindowsWelcomeCenter"="oobefldr.dll" [2008-01-21 2153472]
"SoftAuto.exe"="c:\program files\Creative\Software Update 3\SoftAuto.exe" [2008-08-13 405504]
"EADM"="c:\program files\Electronic Arts\EADM\EADMUI\EADMUI.exe" [2011-03-03 11509760]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"RtHDVCpl"="RtHDVCpl.exe" [2008-01-29 4911104]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-18 421888]
"OPTENET_GUI"="c:\progra~1\CONTRO~1\bin\optgui.exe" [2008-05-06 424608]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-04-03 92704]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-04-03 13535776]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 56080]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-07-21 141608]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2004-02-12 49152]
"HP Component Manager"="c:\program files\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 241664]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2011-02-14 30192]
"CarboniteSetupLite"="c:\program files\Packard Bell\Carbonite\CarboniteSetupLitePBPreInstaller.exe" [2008-04-07 306112]
"ArcSoft Connection Service"="c:\program files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2007-06-06 64256]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-06-08 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
"Malwarebytes' Anti-Malware"="d:\programmes dÈsinfection\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-12-24 460872]
.
c:\users\Patrick\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 - Capture d'Ècran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
Outil de notification Live Search.lnk - c:\users\Laura\AppData\Roaming\Microsoft\Live Search\Notification-LiveSearch.exe [N/A]
.
c:\users\LoÔc et Victor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Game Alarm.lnk - c:\games\Game Alarm\gamealarm.exe [2010-3-6 19721728]
Notification de cadeaux MSN.lnk - c:\users\Laura\AppData\Roaming\Microsoft\Notification de cadeaux MSN\lsnfier.exe [N/A]
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
.
c:\users\Laura\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2009-1-11 67128]
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2009-1-11 692224]
LUMIX Simple Viewer.lnk - c:\program files\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe [2008-8-3 63696]
McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2010-4-5 494920]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~3\GoogleDesktopNetwork3.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux2"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\toolbar_eula_launcher]
2007-02-20 16:20 28672 ----a-w- c:\program files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3672089264-3422931028-3440631740-1001]
"EnableNotificationsRef"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
.
Contenu du dossier 'T‚ches planifiÈes'
.
2012-01-06 c:\windows\Tasks\Extension de garantie-Patrick.job
- c:\program files\Packard Bell\SetupmyPC\PBCarNot.exe [2008-06-10 10:13]
.
2012-01-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-09 19:33]
.
2012-01-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-09 19:33]
.
.
------- Examen supplÈmentaire -------
.
uStart Page = hxxp://format.packardbell.com/cgi-bin/redirect/?country=FR&range=AD&phase=8&key=IESTART
mStart Page = about:blank
uInternet Settings,ProxyOverride = <local>
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
LSP: c:\program files\Controle Parental\bin\lsp.dll
TCP: Interfaces\{2E797A3A-6B6A-44F0-8407-2CD377AB7E79}: NameServer = 8.8.8.8,8.8.8.4
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
FF - ProfilePath - c:\users\Laura\AppData\Roaming\Mozilla\Firefox\Profiles\z3uj7mv7.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://search.conduit.com/?ctid=CT2269050&SearchSource=13
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: DVDVideoSoft Toolbar: {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - %profile%\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}
FF - Ext: DVDVideoSoftTB Toolbar: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - %profile%\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}
FF - Ext: DVDVideoSoft Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-{a8f9752d-e2b8-4e7a-86b5-499f4330e2fe} - (no file)
Toolbar-{e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - (no file)
Toolbar-{872b5b88-9db5-4310-bdd0-ac189557e5f5} - (no file)
WebBrowser-{A8F9752D-E2B8-4E7A-86B5-499F4330E2FE} - (no file)
WebBrowser-{E9911EC6-1BCC-40B0-9993-E0EEA7F6953F} - (no file)
WebBrowser-{872B5B88-9DB5-4310-BDD0-AC189557E5F5} - (no file)
WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-01-06 19:35
Windows 6.0.6001 Service Pack 1 NTFS
.
Recherche de processus cachÈs ...
.
Recherche d'ÈlÈments en dÈmarrage automatique cachÈs ...
.
Recherche de fichiers cachÈs ...
.
Scan terminÈ avec succËs
Fichiers cachÈs: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Akamai]
"ServiceDll"="c:\program files\common files\akamai/netsession_win_b427739.dll"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-3672089264-3422931028-3440631740-1001\Software\SecuROM\License information*]
"datasecu"=hex:c9,63,61,46,59,a8,56,f6,d9,2c,14,ca,4c,54,90,26,36,f7,e5,b1,5d,
89,e2,79,05,08,c3,1d,19,ae,ab,12,e1,4f,e9,57,b6,aa,b0,96,81,4c,4c,59,0d,ee,\
"rkeysecu"=hex:4a,b6,68,a0,83,e7,7f,a1,ee,98,d5,a1,27,85,8a,50
.
[HKEY_USERS\S-1-5-21-3672089264-3422931028-3440631740-1002\Software\SecuROM\License information*]
"datasecu"=hex:29,da,29,fc,7c,98,12,64,cf,ad,a3,c4,95,08,9b,ff,a4,90,9d,ff,ec,
db,5a,c6,b9,d6,8a,65,30,a0,97,62,fb,cd,34,67,fa,58,98,e7,bb,8c,ba,bc,ec,95,\
"rkeysecu"=hex:0a,98,7a,e1,74,98,08,d0,1e,71,33,6c,33,b8,0d,12
.
--------------------- DLLs chargÈes dans les processus actifs ---------------------
.
- - - - - - - > 'lsass.exe'(704)
c:\program files\Controle Parental\bin\lsp.dll
.
Heure de fin: 2012-01-06 19:39:02
ComboFix-quarantined-files.txt 2012-01-06 18:39
.
Avant-CF: 100†684†177†408 octets libres
AprËs-CF: 106†881†642†496 octets libres
.
- - End Of File - - 8CF1A72458DB9C83DD2EE6C8554CB679